Comment est perçu le RGPD par les associations, les TPE/PME et les particuliers ?
Le RGPD était venu remplacer en 2018 la directive de 1995 sur la protection des données personnelles. Ce règlement a créé de nouveaux droits au profit des personnes concernées par le traitement de données : le droit à la portabilité des données ainsi que le droit à l’effacement des données. Retrouvez dans un de nos autres articles, les objectifs du RGPD.
Il a également imposé de nouvelles obligations aux associations et entreprises traitant des données à caractère personnel. A ce titre, trois contraintes principales se dégagent du Règlement. Le principe d’accountability élargit le devoir de déclaration à la CNIL des traitements de données à caractère personnel. Depuis 2018, les organismes traitant des données personnelles doivent mettre en œuvre des “mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque”, mais aussi tenir un registre des traitements de données opérés. Également, le RGPD a pu renforcer le principe de consentement préalable à la collecte et au traitement des données de la personne concernée. Enfin, de nouvelles sanctions ont été mises en places : elles peuvent atteindre 4% du chiffre d’affaires annuel mondial. Tout ça n’est pourtant que théorique… Alors, quel est le bilan réel du RGPD après son entrée en application ?
La perception du RGPD chez les particuliers
Une prise de conscience chez les particuliers
Un sondage IFOP, réalisé pour la CNIL en avril dernier, révèle que les Français sont 70% à se dire plus sensibles à la protection des données personnelles.
Cette sensibilité accrue des citoyens touche tous les domaines dans lesquels sont traitées des données personnelles, et explique en partie l’augmentation des plaintes que la CNIL a reçu depuis l’entrée en application du règlement.
En janvier 2019, le record avait été battu, avec 11 077 plaintes reçues. Les derniers chiffres recensent près de 145 000 plaintes reçues dans toute l’Union Européenne.
La plupart de ces plaintes portent sur la diffusion de données sur Internet, mais aussi le commerce en ligne et les ressources humaines.
La société civile prend une part très importante dans l’application du RGPD. L’association UFC-Que Choisir a introduit un certain nombre de plaintes, alors que la Quadrature du Net et l’ONG None of your Business ont pu agir contre Google auprès de la CNIL.
Comprendre la gestion des données personnelles
Malgré cette sensibilité renforcée à l’égard de la protection des données personnelles, les dispositions prises par les associations et entreprises concernant le consentement et l’information des personnes concernées n'ont pas toujours l'impact attendu. Comme les conditions générales d’utilisation ou les mentions légales par exemple, l’utilisateur va rarement prendre le temps de lire la politique de confidentialité et le message de consentement. En effet, les éléments présentés sont rarement aisé à comprendre pour un non spécialiste du RGPD. Enfin, les citoyens semblent s’estimer impuissants face aux agissements d’entreprises peu respectueuses de la vie privée comme Facebook ou Google.
La perception du RGPD les associations et TPE/PME (avant de se lancer)
Depuis 2018, la CNIL (Commission nationale Informatique et Libertés) a pu avoir l’occasion d’utiliser les nouveaux pouvoirs que lui a conféré le Règlement. A ce titre, elle a notamment réalisé 310 contrôles en 2018, 49 mises en demeure ont été adoptées, pour 11 sanctions prononcées. Les premiers secteurs visés en 2018 ont été les assurances, les grands comptes et les entreprises de ciblage publicitaires.
Après un an d’application du RGPD, la CNIL a commencé à réellement sanctionner les associations et entreprises non-conformes. Désormais, les sous-traitants pourront aussi être sanctionnés (jusqu’à maintenant, seuls les responsables de traitement étaient concernés) et les contrôles vont être renforcés. La commissaire européenne Věra Jourová a comparé le texte en 2019 à “un bébé d’un an qui a de l’appétit et qui est très agile”.
Pourtant, les PME, TPE et associations tiennent la place des laissées pour compte dans ce grand tableau européen.
La plupart d’entre elles ne sont toujours pas conformes au RGPD, et certaines reportent "au plus tard" la mise en place malgré le risque de sanction. Pour aller plus loin sur ce sujet : 6 sanctions RGPD incontournables mais peu connues des TPE/PME et Associations
Le manque de temps des salariés pour gérer le RGPD
"J'ai déjà une mission principale et il est difficile pour moi de libérer le temps nécessaire pour la conformité au RGPD". Les associations et TPE/PME vont très rarement recruter un DPO interne dédiée à cette mission. Généralement, les organismes choisissent un DPO externe ou un internalisation avec un salarié ayant déjà une fonction principale au sein de la structure. Pour savoir comment gagner du temps, découvrez nos offres rgpd.
Un travail fastidieux pour les non juristes
”Cartographier les données, rédiger des procédures, revoir tous les contrats, réaliser des PIA, (etc.) est un travail trop fastidieux”. Cette perception est compréhensible. Imaginez-vous atterrir dans une matière éloignée de votre métier principal. Vous devrez lire de Règlement Général, vous l'approprier, consulter les recommandations de la CNIL, ouvrir votre Excel et votre Word, pour finalement rédiger, rédiger, rédiger. Le RGPD, c'est environ 95 % de droit et 5% de sécurité informatique ; même les informaticiens ou responsable informatique vont trouver le travail très fastidieux.
L'incertitude juridique
Même lorsque vous libérez du temps, même quand vous faites face à la complexité, finalement comment savoir par où commencer et comment savoir si votre travail est conforme à la réglementation. Pourrez-vous dire avec assurance à votre Direction "Oui, ne vous inquiétez pas, nous sommes protégés" . Concrètement, sans expert et/ou outil pour être accompagné, il est difficile pour des non DPO d'être en conformité. Mais rien n'est impossible.